Sean Cassidy, un chercheur en sécurité informatique a mis au point une attaque par phishing assez convaincante qui vise le gestionnaire de mots de passe LastPass.

Le phishing, qui consiste à faire croire à un individu qu’il s’adresse à un tiers de confiance sur Internet dans le but de lui soutirer des informations, implique bien souvent la responsabilité de l’utilisateur. Mais pour le chercheur Sean Cassidy, une forgerie extrêmement bien réalisée pourrait passer inaperçue même pour les utilisateurs expérimentés. Et c’est dans ce cas au service de se prémunir contre ces attaques en développant des mécanismes d’identification plus complexes.

Lors de la conférence Shmoocon 2016, le chercheur en sécurité a présenté « LostPass », une technique de phishing qui permet de récupérer le mot de passe maître d’un compte LastPass. Il explique sur son blog la technique, plutôt simple à mettre en place. Elle consiste à faire visiter aux internautes un site contrefait qui provoque la déconnexion des comptes LastPass et demande à l’utilisateur de se reconnecter avec un bandeau de type « Votre session LastPass a expiré. Reconnectez-vous ».

lastpass_notification

Si l’utilisateur continue sur le lien, on lui présente une fenêtre de connexion  identique à celle utilisée par LastPass sur son extension Google Chrome. Seul le nom de domaine utilisé par l’extension diffère légèrement et permettrait aux utilisateurs les plus attentifs de remarquer l’attaque. L’attaque est plus difficile à mettre en place sur Firefox du fait de la gestion des extensions par le navigateur, mais pas impossible selon Cassidy.

lastpass_login

Si l’utilisateur tombe dans le piège et rentre ses informations de connexions, celles-ci arrivent bien entendu dans les mains du hacker. Le serveur de l’attaquant peut même vérifier grâce à l’API de LastPass si les informations sont correctes et demander le token de double authentification de l’utilisateur ! Une fois que l’attaquant a obtenu le mot de passe maître et le token, il n’a plus qu’à télécharger l’intégralité de la base de données de mots de passe stockée sur LastPass, ou même installer une backdoor sur le compte grâce à la fonction de contact d’urgence.

lastpass_2fa

Contacté par le chercheur, LastPass affirme travailler sur l’amélioration du processus. Le service a déjà mis en place une confirmation par mail pour toutes les connexions à partir d’une nouvelle IP. Cassidy précise cependant que ce fix n’élimine pas entièrement LostPass.

Un gestionnaire de mot de passe reste une solution préférable au post-it ou pire au mot de passe unique. Nous pensons cependant qu’il faut éviter les extensions de navigateurs souvent proposées par les gestionnaires de mots de passe.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !